Illegaler Handel mit Software
- Christian Segor
Sammelflicken, so genannte ‘Cumulative Patches’, erfreuen sich bei Microsoft großer Beliebtheit. So ist vor kurzem der erste ‘Security Rollup Patch’ für die Terminalserver-Variante von NT 4.0 erschienen, der alle sicherheitsrelevanten Hotfixes enthält, die seit Servicepack 6a veröffentlicht wurden. Ähnliche Rundumschläge gibt es bereits für den NT 4.0 Standardserver und für Windows 2000 (Q317636).
Auch für das Redmonder Fass der Danaiden, im Volksmund gerne als Internet Explorer bezeichnet, gibt es einen neuen Cumulative Patch. Der stopft zwei Sicherheitslöcher, die es einem Angreifer zum einen erlauben, seinem Opfer ein Skript in einem Cookie unterzuschieben und es dann in der Sicherheitszone ‘Lokaler Computer’ auszuführen und zum anderen Zugriff auf dem Rechner befindliche Dateien zu gewähren. Der Sammelflicken enthält außerdem alle bisher veröffentlichten IE-Hotfixes und sei jedem Benutzer des Browsers dringend ans Herz gelegt (Q319182).
Und da aller guten Dinge drei sind, gibt es heuer noch ein solches Sicherheits-Patchwork: Der IIS wartet mit einer ganzen Reihe neu entdeckter Bugs auf. Gleich zehn mehr oder weniger kritische Lücken dichtet der Cumulative Patch vom 10. April ab; bei den meisten handelt es sich um Speicherüberläufe, die sich nutzen lassen, um bösartigen Code in nicht dafür vorgesehene Memory-Bereiche zu platzieren und dort auszuführen. Hier sind alle bisher veröffentlichten Sicherheits-Hotfixes im Paket enthalten, wieder lautet die Empfehlung: dringend installieren (Q319733).
Puristen schreiben ihre E-Mail bekanntlich auf einem funktionsreduzierten vi-Klon und verschicken sie per elm, darauf achtend, dass nur Sieben-Bit-ASCII zum Einsatz kommt. Wer etwas mehr Komfort zu schätzen weiß, benutzt Software, die Umlaute verarbeiten kann und den Text dabei nicht in kryptisches Gestammel verwandelt. Noch weiter fortgeschrittene Benutzer schwören auf HTML-Mails - über deren Sinn und Unsinn man sich ja streiten kann - und verwenden womöglich Word als E-Mail-Editor. Wer sich jetzt angesprochen fühlt, sollte auf seinem System einen Patch installieren, der ihn vor unangenehmen Folgen einer Sicherheitslücke im Zusammenspiel zwischen Outlook und Word schützt. Normalerweise zeigt Outlook formatierte Texte (also E-Mail im HTML- oder RTF-Format) in der Sicherheitszone ‘Internet’ an und verhindert somit das Ausführen von Skripten. Antwortet der Benutzer allerdings auf eine solche E-Mail - und verwendet er Word als E-Mail-Editor - greift dieser Mechanismus nicht mehr. Word vertraut dem formatierten Text blind und ist gerne bereit, eventuell vorhandene Skripte zu starten. Microsoft stuft diese Sicherheitslücke als ‘moderate’ ein, was dann doch etwas optimistisch ist. Betroffen sind nur die Outlook-Versionen 2000 und 2002 (Q321804).
Group Policies, die Nachfolger der NT-4.0-System-Policies, sind eine feine Sache, um verteilte Umgebungen zentral zu verwalten. Die Möglichkeiten reichen von simplen Einstellungen wie etwa des Bildschirmschoners bis hin zu komplexer Softwareverteilung. Group Policies werden als Dateien im Netlogon-Verzeichnis eines Windows 2000 DCs abgelegt; von dort greifen die Clients lesend darauf zu. Falls ein Client seinen Lesezugriff auf eine solche Datei als exklusiv kennzeichnet und die Datei danach nicht mehr freigibt, verhindert er die weitere Anwendung der Group Policy. Das kann sicherheitsrelevante Folgen haben, wenn Group Policies für die Verteilung von Security-Einstellungen verwendet werden; der Hotfix empfiehlt sich für alle Betreiber eines Active Directory (Q318593).
Als ‘subtiles Sicherheitsloch’ bezeichnet der Heise-Ticker ein Problem in NT und Windows 2000, das es jedem Benutzer erlaubt, beliebige Software im Sicherheitskontext des Systems auszuführen, solange er an der Konsole angemeldet ist. Schuld an dieser massiven Sicherheitslücke, die jedem ohne Schwierigkeiten administrative Rechte auf der Maschine verschafft, ist das Debugging-Subsystem, das den Zugriff auf eine kritische Schnittstelle nicht kontrolliert. Die Tatsache, dass im Internet ein als ‘DebPloit’ bezeichneter Exploit dieser Schwachstelle kursiert, der eine Art erweitertes RunAs-Werkzeug für jedermann beinhaltet, dürfte Microsoft nicht begeistert haben. In Redmond hüllt man sich in Schweigen, was vor allem vor dem Hintergrund etwas verwunderlich erscheint, dass es bereits Lösungsansätze gibt. So hat der Entdecker des Sicherheitslochs auf einer slowakischen Website ein Tool veröffentlicht, das das Debugging-Subsystem abdichtet.
Es ist unverständlich, weshalb Microsoft das Tools keine Unbedenklichkeitsbescheinigung erteilt hat. Vielleicht liegt das daran, dass der Autor in ADA programmiert hat, was ja wohl nicht zu den Kernkompetenzen bei Microsoft zählt. Die patchende Software ist zum einen unter www.anticracking.sk/EliCZ erhältlich, zum anderen hat das Sicherheitsteam am Rechenzentrum der Uni Stuttgart einen Blick auf den Code geworfen und ihn neu kompiliert: cert.uni-stuttgart.de/people/fw/tools/chsystem.
Näheres zu den einzelnen Sicherheitsproblemen gibt es online. Die angegebenen KnowledgeBase-Artikel sind unter search.support.microsoft.com/kb erhältlich. Über die iX-Webseite sind alle bisherigen Ausgaben ‘Windows Security’ zu erreichen. (wm)
